InkJect:图像中的隐藏文字绕过前沿视觉模型的护栏
DeepKeep 的 InkJect 研究把指令藏进图像——白底白字、经扭曲以骗过 OCR——让视觉模型执行其文本过滤器本会拦截的命令。
摘要 2026 年 7 月 1 日,AI 安全公司 DeepKeep 披露了 InkJect——一种视觉提示注入技术,将指令藏进视觉语言模型在正常工作中读取的图像里。由于拦截文本注入的护栏从不检查视觉层,模型会执行以近乎隐形的”墨水”写下的命令,而同样的命令若以键盘输入则会被拒绝。DeepKeep 表示该技术对 OpenAI 的 GPT-5.2 与 GPT-5.4 Mini、以及 Anthropic 的 Claude Sonnet 4.6 与 Opus 4.5 均奏效,并称已将该发现报告给两家厂商。
这是什么?
视觉语言模型(VLM)如今已嵌入代码助手、数据分析工具和自动化工作流中:它们读取截图、示意图以及从代码仓库拉取的图像。InkJect——取意于图像中隐藏的”墨水”——是一种间接注入方法:攻击者从不向受害者的会话上传恶意图像,而是把一张经过篡改的图像放进公开仓库。当开发者请求 VLM 构建一项引用该仓库的功能时,模型会在其常规任务中检索并读取该图像,并悄然执行其中嵌入的指令。
InkJect 所利用的这一缺口几乎没有学术研究覆盖。最接近的已发表工作是 VPI-Bench(2026 年 6 月),一个针对”computer-use”智能体的视觉提示注入基准;DeepKeep 说明其研究系独立开展。
工作原理
其核心是让载荷对模型保持可读,同时对本应拦截它的扫描器不可读。DeepKeep 描述了两种互补手法,此处仅作概念性说明,并非可直接使用的漏洞利用。
第一种是近乎隐形的排版——例如白底白字。粗看图像的人看不到任何内容;文本内容扫描器也看不到;但 VLM 的视觉编码器仍能解析出这些字符,并将其当作指令。
第二种专门针对基于光学字符识别(OCR)的防御。DeepKeep 发现,将嵌入文字的透视倾斜或扭曲就足以让 OCR 扫描漏过,而模型本身仍能准确解读被扭曲的文字。这扩大了防御者所依赖的那道缝隙:安全工具能读到的内容与模型能读到的内容不再一致。
在一次公布的测试中,开发者请求 VLM 为网站添加一个简单的信息页面。隐藏指令使模型悄然插入了一个带有攻击者所控管理员凭据的登录系统——获得完整的后端访问权限,而开发者毫无察觉除所请求页面之外还构建了其他内容。
为何重要
令人不安的发现是:护栏是分层的。会明确拒绝书面恶意指令的模型,在指令以像素形式到达时却执行了同一条指令。安全训练与输入过滤一直集中在文本通道;视觉通道是一个盲点,未继承任何这些保护。
暴露面随采用而扩大。多模态部署正成为代码生成与自动化流水线的默认选项,而落入生成代码中的注入指令——后门、硬编码凭据、外泄调用——可以直接扩散到生产环境。由于触发物是放置在受害者选择引用的仓库中的一张图像,该风险呈供应链攻击的形态:你可能通过自己从未编写或审阅的内容而遭到入侵。
防御
- 将图像视为不可信输入,而非被动数据。 模型从外部或用户提供来源读取的任何图像都可能携带指令。请以对待抓取网页和文档的同等戒心对待它。
- 扫描视觉层,而不仅是提取出的文本。 OCR 加文本过滤并不够:透视扭曲可绕过它。防御须作用于模型实际感知到的内容,并考虑低对比度和几何变形的文字。
- 分离数据与指令。 从仓库或网络拉取的内容应作为参考材料呈现给模型,绝不作为命令。基于上下文完整性与指令/数据分离的设计能在注入得逞时缩小影响范围。
- 将高影响操作置于审查之后。 若 VLM 能编写代码、添加认证系统或设置凭据,应对这些操作要求人工批准。InkJect 演示之所以得逞,正因模型输出未经审阅即被交付。
- 将输出与请求进行比对。 提示要求的是信息页面,模型却产出了管理员登录。当生成产物超出所声明任务时予以标记的自动检查,本可发现被注入的后门。
- 跟踪厂商修复。 该技术已报告给 OpenAI 与 Anthropic;请关注其安全公告并重新测试自己的流水线,而非假定模型侧补丁已覆盖你的集成。
状态
| 项目 | 参考 | 日期 | 备注 |
|---|---|---|---|
| InkJect 披露 | DeepKeep(PR Newswire) | 2026-07-01 | 绕过文本护栏的视觉提示注入 |
| 报告受影响的模型 | GPT-5.2、GPT-5.4 Mini、Claude Sonnet 4.6、Opus 4.5 | 2026-07-01 | 成功率因模型而异 |
| 厂商披露 | OpenAI、Anthropic | 2026 | DeepKeep 报告的披露 |
| 相关学术工作 | VPI-Bench(arXiv 2506.02456) | 2026-06 | 针对 computer-use 智能体的视觉提示注入基准 |
正确的结论并非”又一个注入技巧”,而是:在文本通道上被证明的安全保证,并不会迁移到图像通道——只要防御不去监视模型能读取的每一路输入,视觉层就仍是穿越护栏最廉价的途径。
Sources
- → https://www.prnewswire.com/news-releases/deepkeep-exposes-inkject-a-new-visual-prompt-injection-vulnerability-that-bypasses-guardrails-in-leading-ai-models-302815702.html
- → https://www.deepkeep.ai/blog/inkject-the-visual-prompt-injection-that-text-defenses-were-never-built-to-stop
- → https://arxiv.org/abs/2506.02456